שחקני איומים פיתחו מודולים מותאמים אישית כדי לסכן התקני ICS שונים כמו גם תחנות עבודה של Windows המהוות איום מיידי, במיוחד על ספקי אנרגיה.
גורמי איומים בנו ומוכנים לפרוס כלים שיכולים להשתלט על מספר התקני מערכת בקרה תעשייתית (ICS) בשימוש נרחב, מה שגורם לבעיות עבור ספקי תשתית קריטיים - במיוחד אלו במגזר האנרגיה, הזהירו סוכנויות פדרליות.
In ייעוץ משותף, משרד האנרגיה (DoE), הסוכנות לאבטחת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) וה-FBI מזהירים כי "גורמים מסוימים מתקדמים לאיום מתמשך (APT)" כבר הוכיחו את היכולת "להרוויח מלא גישה למערכת למספר התקני בקרה תעשייתית (ICS)/בקרת פיקוח ורכישת נתונים (SCADA)", על פי ההתראה.
הכלים המותאמים אישית שפותחו על ידי ה-APTs מאפשרים להם - ברגע שהם קיבלו גישה לרשת הטכנולוגיה התפעולית (OT) - לסרוק, להתפשר ולשלוט במכשירים המושפעים, על פי הסוכנויות. זה יכול להוביל למספר פעולות מרושעות, כולל העלאת הרשאות, תנועה לרוחב בתוך סביבת OT, ושיבוש של מכשירים או פונקציות קריטיות, הם אמרו.
התקנים בסיכון הם: בקרי לוגיקה (PLC) שניידר אלקטריק MODICON ו- MODICON Nano, כולל (אך לא מוגבל ל) TM251, TM241, M258, M238, LMC058 ו-LMC078; OMRON Sysmac NEX PLCs; ושרתי Open Platform Communications Unified Architecture (OPC UA), אמרו הסוכנויות.
ה-APTs יכולים גם לסכן תחנות עבודה הנדסיות מבוססות Windows שנמצאות בסביבות IT או OT תוך שימוש בניצול של פגיעות ידועה ב-ASRock לוח האם נהג, הם אמרו.
יש לשים לב לאזהרה
למרות שסוכנויות פדרליות מפרסמות לעתים קרובות ייעוץ לגבי איומי סייבר, איש מקצוע אבטחה דחק ספקי תשתית קריטיים לא להקל ראש באזהרה הספציפית הזו.
"אל תטעו, זו התראה חשובה מ-CISA", ציין טים ארלין, סגן נשיא לאסטרטגיה ב-Tripwire, באימייל ל-Threatpost. "ארגונים תעשייתיים צריכים לשים לב לאיום הזה".
הוא ציין כי בעוד שההתראה עצמה מתמקדת בכלים להשגת גישה למכשירי ICS ספציפיים, התמונה הגדולה יותר היא שכל סביבת הבקרה התעשייתית נמצאת בסיכון ברגע ששחקן איום מקבל דריסת רגל.
"התוקפים זקוקים לנקודת פשרה ראשונית כדי לקבל גישה למערכות הבקרה התעשייתיות המעורבות, וארגונים צריכים לבנות את ההגנות שלהם בהתאם", ייעץ ארלין.
ערכת כלים מודולרית
הסוכנויות סיפקו פירוט של הכלים המודולריים שפותחו על ידי APTs המאפשרים להם לבצע "ניצול אוטומטי מאוד נגד מכשירים ממוקדים", אמרו.
הם תיארו את הכלים כבעלי קונסולה וירטואלית עם ממשק פקודה המשקף את הממשק של מכשיר ה-ICS/SCADA הממוקד. מודולים מקיימים אינטראקציה עם מכשירים ממוקדים, ומעניקים אפילו לשחקנים בעלי מיומנות נמוכה יותר את היכולת לחקות יכולות מיומנות גבוהה יותר, הזהירו הסוכנויות.
הפעולות שה-APTs יכולים לבצע באמצעות המודולים כוללות: סריקה לאיתור מכשירים ממוקדים, ביצוע סיור בפרטי המכשיר, העלאת תצורה/קוד זדוני למכשיר הממוקד, גיבוי או שחזור תוכן המכשיר ושינוי פרמטרים של המכשיר.
בנוסף, שחקני ה-APT יכולים להשתמש בכלי שמתקין ומנצל פגיעות במנהל התקן של לוח האם של ASRock AsrDrv103.sys במעקב כמו CVE-2020-15368. הפגם מאפשר ביצוע של קוד זדוני בליבת Windows, מה שמקל על תנועה צידית של סביבת IT או OT, כמו גם הפרעה של התקנים או פונקציות קריטיות.
מיקוד למכשירים ספציפיים
לשחקנים יש גם מודולים ספציפיים לתקוף את האחר מכשירי ICS. המודול של שניידר אלקטריק מקיים אינטראקציה עם המכשירים באמצעות פרוטוקולי ניהול רגילים ו-Modbus (TCP 502).
מודול זה עשוי לאפשר לשחקנים לבצע פעולות זדוניות שונות, כולל הפעלת סריקה מהירה לזיהוי כל ה-PLC של שניידר ברשת המקומית; סיסמאות PLC בכוח גס; ביצוע מתקפת מניעת שירות (DoS) כדי לחסום את ה-PLC מלקבל תקשורת רשת; או ביצוע מתקפת "חבילת מוות" כדי לרסק את ה-PLC, בין היתר, על פי הייעוץ.
מודולים אחרים בכלי APT מכוונים למכשירי OMRON ויכולים לסרוק אחריהם ברשת וכן לבצע פונקציות פוגעניות אחרות, אמרו הסוכנויות.
בנוסף, מודולי OMRON יכולים להעלות סוכן המאפשר לשחקן איום להתחבר וליזום פקודות - כגון מניפולציה של קבצים, לכידת מנות וביצוע קוד - באמצעות HTTP ו/או Hypertext Transfer Protocol Secure (HTTPS), לפי ההתראה.
לבסוף, מודול המאפשר התפשרות של התקני OPC UA כולל פונקציונליות בסיסית לזיהוי שרתי OPC UA ולחיבור לשרת OPC UA באמצעות ברירת מחדל או אישורים שנפגעו בעבר, הזהירו הסוכנויות.
הקלות מומלצות
הסוכנויות הציעו רשימה נרחבת של הקלות עבור ספקי תשתיות קריטיות כדי להימנע מהתפשרות של המערכות שלהם על ידי כלי APT.
"זה לא פשוט כמו החלת תיקון," ציין ארווין של Tripwire. מתוך הרשימה, הוא ציטט את בידוד המערכות המושפעות; שימוש בזיהוי נקודות קצה, תצורה וניטור שלמות; וניתוח יומנים כפעולות מפתח שארגונים צריכים לנקוט באופן מיידי כדי להגן על המערכות שלהם.
ה-Feds גם המליצו לספקי תשתית קריטית תוכנית תגובה לאירועי סייבר שכל בעלי העניין ב-IT, אבטחת סייבר ותפעול מכירים ויכולים ליישם במהירות במידת הצורך, כמו גם לשמור על גיבויים לא מקוונים תקפים להתאוששות מהירה יותר במתקפה משבשת, בין השאר. .
עוברים לענן? גלה איומי אבטחת ענן מתפתחים יחד עם עצות מוצקות כיצד להגן על הנכסים שלך עם שלנו ספר אלקטרוני להורדה בחינם, "אבטחת ענן: התחזית לשנת 2022." אנו בוחנים את הסיכונים והאתגרים העיקריים של ארגונים, שיטות עבודה מומלצות להגנה ועצות להצלחת אבטחה בסביבת מחשוב דינמית כזו, כולל רשימות בדיקה שימושיות.
